逆向工程核心原理之第20章之正面分析
摘要:首先打开文件unpackme#1.aC.exe,分析其中的节区信息,如下: 对节区头中包含节区的内存展示: 文件RAW地址 内存RVA地址 400 磁盘节区起始地址 1000 内存节区起始地址 ..... ..... ..... 800 280 text ..... ..... ..... 2000
阅读全文
posted @
2022-01-25 17:24
子虚乌有
阅读(60)
推荐(0) 编辑
关于上传文件的问题
摘要:关于上传文件的问题 假设已经拿到了反弹,想要在这个基础上上传一个文件到售货机,作为黑科技方,如果文件比较小,可以用echo 'BASE64' | base64 -d > xxx但是如果文件稍微大点,需要反复多次echo 追加文件,但是如果文件实在有点大,就想到有没有一个自动
阅读全文
posted @
2022-01-24 10:01
子虚乌有
阅读(45)
推荐(0) 编辑
逆向工程核心原理之第17章新增空节区
摘要:用作者提供的reloc.exe文件,用HxD打开修改。 1修改NT头结构中的 numberofsections字段为 从05 00 修改为06 00 2修改NT可选头的字段sizeofimage 为00 10 01 00 修改为 00 20 01 00 3在最后的节区reloc后面增加新节区ccyl
阅读全文
posted @
2022-01-19 15:40
子虚乌有
阅读(26)
推荐(0) 编辑
逆向工程核心原理之第13章关于tinyPE
摘要:制作只有97个字节的tiny PE(http://www.phreedom.org/research/tinype/ ),充分利用了每一点空闲空间,将多个结构重叠在一起,并且极致的利用最后面默认的 0值!
阅读全文
posted @
2022-01-19 15:33
子虚乌有
阅读(74)
推荐(0) 编辑
逆向工程核心原理之第13章PE文件格式导出表的初步理解
摘要:作者分析的是32位的kernel32.dll,我们通过模仿分析64位的kernel32.dll来认识PE文件格式,跟随作者的脚步,下面我们开始分析: PE的头由 1DOS头 2DOS存根 3NT头 4各种节区头 组成。 ****************************************
阅读全文
posted @
2022-01-14 17:05
子虚乌有
阅读(187)
推荐(0) 编辑
逆向工程核心原理之第13章PE文件格式导入表的初步理解
摘要:作者分析的是32位的notepad.exe,我们通过模仿分析64位的notepad.exe来认识PE文件格式,跟随作者的脚步,下面我们开始分析: PE的头由 1DOS头 2DOS存根 3NT头 4各种节区头 组成。 ******************************************
阅读全文
posted @
2022-01-14 16:52
子虚乌有
阅读(97)
推荐(0) 编辑
关于IMAGE_OPTIONAL_HEADER32和64结构体的区别
摘要:关于 结构体IMAGE_OPTIONAL_HEADER64 和 结构体IMAGE_OPTIONAL_HEADER32 的对比 1.64位的结构体不存在字段 BaseOfData ,少了4个字节 2. 64位的结构体 下面五个字段的类型为 ULONGLONG 8个字节,比32版本的同字段名多了4个字节
阅读全文
posted @
2022-01-12 17:10
子虚乌有
阅读(467)
推荐(0) 编辑
逆向工程核心原理之第八章关于加密部分的个人理解
摘要:下面是加密的循环代码的个人理解 CPU Disasm Address Hex dump Command Comments 00403197 |> /85C0 /TEST EAX,EAX 00403199 |. |0F84 06010000 |JZ 004032A5 测试EAX的值,如果为0就退出这个
阅读全文
posted @
2022-01-07 18:02
子虚乌有
阅读(101)
推荐(0) 编辑
